主機異常入侵檢測方法研究.pdf

1、主機異常入侵檢測是通過檢查或監(jiān)視主機是否偏離或脫離正常運行狀態(tài)，而判斷或發(fā)現(xiàn)其是否遭受外部攻擊的一種技術，是網絡安全防護的重要手段?，F(xiàn)有的很多主機異常入侵檢測技術，如特征檢測、異常檢測和狀態(tài)檢測等，雖然各有優(yōu)勢，但也都存在缺陷。如常用的特征檢測技術，在攻擊發(fā)生變異后就會失效、或降低準確率或升高誤/漏報率。另外現(xiàn)有的主機異常入侵檢測系統(tǒng)，其數(shù)據源常常和被監(jiān)控主機的操作系統(tǒng)等因素密切相關，于是不同的系統(tǒng)需安裝不同的主機引擎，這也對屬主系統(tǒng)的

2、運行和穩(wěn)定造成影響。因此，研究新的主機異常入侵檢測方法和技術成為當今的前沿熱點研究問題。
　　 針對上述問題，在深入分析網絡攻擊和入侵特點的基礎上，研究基于與系統(tǒng)無關的、具有代表性的且易于獲取和計算的數(shù)據源的主機異常入侵檢測方法，試圖在提高方法適用性、提高檢測準確性，降低系統(tǒng)誤報率和漏報率之間取得更好的平衡。
　　 主機的實時流量、系統(tǒng)資源使用模式、系統(tǒng)核心文件的訪問狀態(tài)以及其它安全工具的告警信息都為檢測主機異常提供了有

3、價值線索，采用適當?shù)姆椒ň涂赏诰虺鲞@些數(shù)據中隱藏的主機異常入侵行為。
　　 提出了一種基于主機流量的異常檢測方法。主機的網絡流量在一定程度上可以反映主機的活動特點，深入分析主機的實時流量是檢測主機異常入侵的可行途徑。
　　 選擇主機流量中有代表性的13個特征，用貝葉斯邏輯回歸方法客觀地確定其對主機異常入侵的影響。用貝葉斯方法確定特征的先驗概率，并結合訓練數(shù)據集的信息，得到邏輯回歸模型各個特征的后驗概率?？紤]到算法的簡單高

4、效以及模型的客觀性，使用模型擬合優(yōu)度檢驗AIC信息標準(AIC：Akaike Information Criterion)對變量特征進行篩選，保留對檢測結果影響最大的幾個主要流量特征作為模型的變量。
　　 實驗結果表明該模型能夠檢測大部分類型的異常入侵。
　　 提出了一種基于主機資源使用模式的異常檢測方法。主機的安全狀態(tài)與其資源的使用情況密切相關。建立了主機資源可用性測度指標體系，包括主機的計算資源、存儲資源、網絡資源、

5、IO資源以及進程/線程的統(tǒng)計信息，分析主機資源的正常使用輪廓，確定各個指標對主機資源可用性的影響并進而判斷主機的安全狀態(tài)。運用層次分析法確定指標的主觀權重，熵權法確定指標的客觀權重，然后將主、客觀權重進行有機集成，得到組合權重的最優(yōu)解，在此基礎上建立目標主機資源可用性綜合評價模型，進而評估主機安全狀態(tài)。
　　 設計了基于D-S證據理論的多源異構數(shù)據融合模型，根據融合結果判斷主機異常。網絡攻擊的形式和手段日益多樣化，依靠單一數(shù)據源

6、檢測所能檢測到的攻擊類型受到很大限制，且檢測的效率也受到極大的影響。網絡入侵行為常常會在多方面特征中表現(xiàn)出異常，融合多種異構信息來檢測主機異常是一種新的思路。主機流量信息、資源信息、文件系統(tǒng)信息以及其他安全設備的告警都為主機的異常檢測提供大量信息，對這些信息進行融合后可得到高層的準確判斷。選擇多種安全相關且計算量小的信息，運用D-S證據理論進行融合，消除信息本身的不確定性，同時引入主機正常輪廓的自適應機制，為主機活動是否異常提供一個較為